在美国内华达州拉斯韦加斯举行的Defcon年度国际黑客大会上,著名黑客克里斯·佩吉特在大会上发言时要求几名同伴用GSM手机打电话,随后佩吉特用一个花1500美元即可买到的装置靠近手机。结果证明,这个装置可拦截并记录全部通话内容。 佩吉特说:“GSM被破解了——绝对被破解了”。GSM算法被破解将使原本仅限于政府和情报机构使用的移动信号拦截窃听技术的门槛降低,设想一下如果普通人花上1500美元就能随意的截取窃听他人的通话信号,那么你还敢打电话么?
GSM属于第二代移动通信技术,采用的加密技术是在20年前设计的,曾被称为世界上最为安全的通信技术之一,它在用户身份认证、用户权限和语音通信过程中都设置了密码。英国《金融时报》强调,GSM算法被破解的举动对全球80%移动电话通信构成安全隐患,同时也导致互联网上存在的种种信息安全问题都出现在手机上。
GSM加密算法被破解,即使不影响GSM手机用户的语音通信,但当GSM手机用户在支付和验证身份时,也可能会受到不法分子的潜在威胁。手机支付现象的出现,使手机不再是一个简单的语音通信设备,而是成了一个功能强大的智能终端,在一些发达城市里手机的支付功能还扩展到乘公交车、轨道交通、出租车等,用户可以直接用手机刷卡扣费,进行小额消费,因此互联网上存在的种种信息安全问题都即将在手机上出现,所以未来3G和4G技术必须抵御这种攻击。
再来看看互联网,GSM移动网络的安全防范措施一样比较薄弱。在3G网络中,对手机的安全性要求比2G时代更高,因此需要采用更好的加密体制,用来满足数字加密和数字签名的需要,同时满足电子商务所要求的身份鉴别和数据的机密性、完整性、不可否认性。国富安公司李长军总经理认为,手机的无线网络同互联网的安全性需求相同,大致可以分为四个相互交织的部分:保密、鉴别、抗否认和完整性控制。其中的完整性就是控制要求保证收到的信息的确是最初的原始数据,而没有被第三者篡改或伪造。那么在移动支付上的安全如何有效解决?
业界信息安全专家与国富安公司总经理李长军一致表示:移动支付安全问题是一个牵连甚广的应用问题。电子商务发展所要求开放的支付环境,需要金融和通信、互联网等产业之间的融合,从而避免风险相互传递。因此要想保证移动网络的安全性,作为移动支付的重要安全保证,无线数字证书技术就显得尤为重要。必须尽快建设无线公钥基础设施,建设以认证中心(CA)为核心的无线安全认证体系。
无线公钥基础设施即WPKI技术,它将互联网电子商务中PKI/CA安全机制引入到移动商务中,是一套遵循既定标准的密钥及证书管理平台体系,用它来管理移动网络环境中使用的公开密钥和数字证书,可以有效的建立安全和值得信赖的移动网络环境。把WPKI技术与SIM卡结合起来,相当于中国移动向其使用用户颁发一个在移动互联网上进行活动的身份证,借此完成个人信用与用户身份的绑定,使用户通过手机签署命令或者收发邮件的行为具有一定的公信度。
正如现在的市场情况一样,在相当长一段时期内,移动通信系统都会出现2G和3G两种网络共存的局面,移动通信系统的安全也面临着后向兼容的问题。此次密码被破译就提醒了我们在发展移动业务的同时,建设与加强移动安全体制迫在眉睫。
